محمد بختیاری

همین حالا دستگاه اپل خود را به‌روزرسانی کنید

طبق گزارش The Verge، این روزها اخبار اپل در همه‌ی خبرگزاری‌های فناوری دیده می‌شود؛ ولی این گزارش با باقی موارد متفاوت است. اگر در حال خواندن این خبر از طریق آیفون، آیپد، مک یا حتی اپل واچ هستید، احتمالا باید همین حالا دستگاه خود را به‌روزرسانی کنید. به‌روزرسانی امروز یک مسئله امنیتی را حل می‌کند که به گفته اپل، ممکن است به‌طور فعال مورد سوءاستفاده قرار گرفته باشد.

به‌روزرسانی‌های iOS 14.5.1،iPadOS 14.5.1،macOS 11.3.1 و watchOS 7.4.1 برای رفع باگ‌های موجود در WebKit است که به افراد سودجو اجازه می‌دهد هر کدی را اجرا کنند. WebKit فریم‌ورکی است که بیشتر محتوای وب که در دستگاه خود مشاهده می‌کنید، توسط آن ارائه می‌شود؛ البته اگر برای مثال از کروم یا فایرفاکس در مک استفاده می‌کنید، WebKit این کار را انجام نمی‌دهد. به زبان غیر تخصصی، به‌روزرسانی‌ها شکافی ایجاد می‌کنند که به وب‌سایت‌های مخرب اجازه می‌دهد کد کنترل‌نشده را در دستگاه شما اجرا کنند. بنابراین به هیچ عنوان نباید ارتقا کنونی دستگاه اپل خود را به تعویق بیندازید؛ زیرا می‌تواند برای شما دردسرساز باشد.

اگر دستگاه قدیمی‌تری مانند آیفون 5S یا آیفون 6، آیپد ایر یا مینی ۲ و ۳ دارید نگران نباشید، زیرا اپل همچنین iOS 12.5.3 را منتشر کرده است که مشکلات امنیتی WebKit را برطرف می‌کند.

مقاله‌های مرتبط:

اگر این داستان برای شما کمی آشنا به نظر می‌رسد، به این دلیل است که اخیراً دو به‌روزرسانی دیگر (iOS 14.4 و  iOS 14.4.2) منتشر شده است که باگ‌های امنیتی مشابه را رفع کرده‌اند. حتی اگر فکر می‌کنید به دلیل اینکه از گزینه‌های جایگزین برای مرور وب استفاده می‌کنید یا به‌طورکلی این کار را در دستگاه‌های خود انجام نمی‌دهید به این به‌روزرسانی نیازی ندارید، باز هم باید آن را انجام بدهید؛ زیرا WebKit می‌تواند در مکان‌های غیر منتظره مورد استفاده قرار گیرد و اصلا خوب نیست حفره‌های امنیتی در آن وجود داشته باشد. این باگ‌ها ممکن است هر لحظه امنیت دستگاه را در خطر قرار بدهند.

تا اکنون، اپل چندین پچ امنیتی برای بسته شدن حفره‌های امنیتی دستگاه‌های خود منتشر کرده است. هر دو باگ CVE-2021-30663 و CVE-2021-30665 رفع شده‌اند و دیگر کمکی به سودجویان نمی‌کنند. هفته گذشته، اپل CVE-2021-30661، یکی دیگر از نقص‌های اجرای کد در iOS Webkit را برطرف کرد. این شرکت در یادداشت‌های مربوط به مسائل امنیتی خود اعلام کرد که کاملا از شرایط امنیتی و مشکلات پیش‌آمده آگاه است و برای رفع آن‌ها تلاش می‌کند.

باگ CVE-2021-30665 توسط محققان شرکت امنیتی Qihoo 360 مستقر در چین کشف شد و پس از آن، یک منبع ناشناس از پیدا کردن یک حفره امنیتی دیگر خبر داد. اپل هیچ جزئیاتی درباره اینکه چه کسی از این باگ‌ها سوءاستفاده کرده است یا چه کسانی هدف قرار گرفته‌اند منتشر نکرده است.

 

آیا تلویزیون های هوشمند چینی اطلاعات کاربران را به سرقت می‌برند؟

Newsweek گزارشی جنجالی منتشر کرده است که طبق آن، تلویزیون‌های هوشمند شرکت‌های چینی اقدام به جمع‌آوری اطلاعات بدون مجوز کاربر می‌کنند و اطلاعات به‌دست‌آمده به شرکت‌هایی فروخته می‌شود که در زمینهٔ تجزیه و تحلیل داده فعالیت دارند.

این اطلاعات برگرفته از گزارشی است که یک رسانه خبری چینی به نام South China Morning Post منتشر کرده است. طبق این گزارش، یکی از شهروندان چینی در انجمنی به نام V2EX پستی منتشر کرده و مدعی شده است که تلویزیون هوشمند اسکای‌ورث او، در هر ۱۰ دقیقه شروع به اسکن و جمع‌آوری اطلاعات می‌کند. این اطلاعات درواقع از شبکه‌ای جمع‌آوری می‌شود که تلویزیون هوشمند با استفاده Wi-Fi به آن متصل شده است و مجموعه‌ای از اطلاعات مانند آدرس آی‌پی، تأخیر شبکه، دستگاه‌های دیگری که به شبکه متصل هستند و موارد دیگر را به دست می‌آورد و ارسال می‌کند. کاربر فروم V2EX در پست خود توضیح می‌دهد:

پس از مدتی کار با تلویزیون، حس کردم که سرعت آن کمی کند شده است؛ به همین علت به سراغ اپلیکیشن‌های در حال اجرا در پس‌زمینهٔ سیستم‌عامل تلویزیون هوشمند رفتم. بین اپلیکیشن‌ها به نرم‌افزاری سرویس داده گوژنگ (GoZheng Data Service) رسیدم که برای من بسیار مشکوک بود. من چنین اپلیکیشنی نصب نکرده بودم و نمی‌دانستم دقیقاً چه فعالیتی انجام می‌دهد … تلویزیون من از سیستم‌عامل اندروید برخوردار است. با بررسی و تحقیقی که انجام دادم، متوجه شدم این اپلیکیشن هر ده دقیقه، تمامی دستگاه‌های متصل به شبکه را بررسی و اطلاعاتی در مورد آن‌ها ارسال می‌کند؛ اطلاعاتی مانند آدرس آی‌پی، مک، نام هاست و حتی مدت‌زمان تأخیر شبکه. سپس متوجه شدم که اپلیکیشن حتی نام SSID مودم‌های وای‌فای فعال در اطراف تلویزیون را بررسی می‌کند و آن را به دامنه‌ای به نام gz-data.com می‌فرستد.

طبق آنچه کاربر چینی مدعی شده است، اطلاعات به‌دست‌آمده توسط اپلیکیشن به شرکتی فعال در زمینهٔ تحلیل و تجزیهٔ اطلاعات فرستاده می‌شود که روی فعالیت کاربران در تلویزیون‌های هوشمند نظارت دارد. چنین شرکت‌هایی با بررسی برنامه‌های مورد علاقهٔ کاربر می‌توانند به شرکت‌های تبلیغاتی در ساخت پیام‌ تبلیغاتی هدفمند کمک کنند؛ البته اطلاعات به‌دست‌آمده می‌تواند برای اهداف دیگری نیز استفاده شود.

در توضیحات gz-data.com آمده است که اطلاعات این شرکت با بررسی ۱۴۰ میلیون دستگاه تلویزیون هوشمند به دست می‌آید؛ تلویزیون‌هایی که درواقع توسط ۱۴۹ میلیون خانوادهٔ چینی استفاده می‌شوند. در حقیقت این شرکت تجزیه و تحلیل داده روی فعالیت ۴۵۷ میلیون کاربر چینی نظارت می‌کند. شرکت گوژنگ از سال ۲۰۱۴ با سازندگان چینی تلویزیون‌ هوشمند همکاری دارد؛ اما مشخص نیست دایرهٔ فعالیت این شرکت تنها به چین ختم می‌شود یا اطلاعات کاربران در خارج از خاک چین نیز جمع‌آوری و به گوژنگ ارسال می‌شود.

مقاله‌های مرتبط:

کمی بعد از انتشار پست کاربر چینی در انجمن V2EX، جنجالی در فضای مجازی چین به پا شد که اسکای‌ورث و گوژنگ در حال سرقت اطلاعات کاربران هستند. این دو شرکت با افزایش انتقادات مجبور به نشان دادن واکنش شدند. گوژنگ در حساب وی‌چت خود گفت که اطلاعات جمع‌آوری‌شده فقط برای به دست آوردن آماری از فعالیت تلویزیون هوشمند شامل ساعت تماشای برنامه‌ها و کانال و برنامه‌های محبوب کاربران، امتیازدهی کاربران به برنامه‌های در حال پخش، آمار تماشای تبلیغات و درنتیجه ارائهٔ تبلیغات هدفمند بوده است.

گوژنگ می‌گوید برای بهبود شرایط سیاست حفظ حریم خصوصی کاربران تلاش خواهد کرد و اطلاعات مورد نیاز را طبق قوانین و با اطلاع و رضایت کاربر جمع‌آوری خواهد کرد. اسکای‌ورث نیز بیانیه‌ای منتشر کرده که South China Morning Post آن را پوشش داده است. شرکت چینی در بیانیهٔ خود آورده است که اهمیت فراوانی به حفظ حریم خصوصی کاربران محصولات خود می‌دهد و برای امنیت بیشتر کاربران تلاش خواهد کرد.

در بیانیه ذکر شده است که محصولات فروخته‌شده در بازار هنگ‌کنگ فاقد برنامهٔ گوژنگ بوده‌اند. در حال حاضر، سران اسکای‌ورث از مصاحبه با رسانه‌ها خودداری می‌کنند و پرسش‌های Newsweek از سران این شرکت بی‌پاسخ باقی‌ مانده است.

با پستی که گوژنگ منتشر کرده است، احتمال اینکه جمع‌آوری اطلاعات تنها از کاربران چینی صورت گرفته باشد، قوت می‌گیرد. احتمالا بازار هدف گوژنگ تنها کشور چین است و اطلاعات به‌دست‌آمده نیز به شرکت‌های تبلیغاتی چینی فروخته می‌شود.

اپل: خواسته‌های اپیک گیمز امنیت و حریم خصوصی iOS را تهدید می‌کند

مدتی است روابط اپل و اپیک گیمز (Epic Games)، سازنده‌ی بازی فورتنایت، با چالش‌های متعددی روبه‌رو است و هر دو به‌نوعی قصد دارند یکدیگر را به انحصارطلبی و رفتار غیر قانونی متهم کنند. سرانجام روز گذشته، نخستین دادگاه استماع اپل و اپیک گیمز با استدلال طرفین آغاز شد.

به گزارش اپلاینسایدر، غول دنیای فناوری در گوشه‌ای از استدلال‌ آغازین، گفته است  سیاست‌هایش از حریم خصوصی، امنیت و کیفیت محتوای اپ استور محافظت می‌کند. اپل مدعی است  اپیک گیمز فقط به این دلیل شکایت کرده که دیگر نمی‌خواهد کمیسیون پرداخت کند.

مقاله‌ی مرتبط:

برای یادآوری، این پرونده ناشی از دادخواستی است که اپیک گیمز پس از حذف فورتنایت از اپ استور تنظیم کرد. سازنده‌ی بازی فورتنایت در اقدامی به‌ نظر از‌ قبل برنامه‌ریزی‌شده با طرح دادخواست و کمپین مطبوعاتی علیه اپل، این شرکت را به رفتارهای ضد‌ رقابتی متهم و اعلام کرد که غول فناوری کوپرتینو اپ استور را با شیوه‌های انحصاری اداره می‌کند؛ زیرا توسعه‌دهندگان را مجبور می‌کند برای هر فروش در اپ استور و سیستم‌های خرید درون‌برنامه‌ای آن، کمیسیون پرداخت کنند.

در جریان دادگاه کارن دان، وکیل مدافع اپل، در بیانیه‌ی ابتدایی‌اش استدلالی مخالف با استدلال اپیک گیمز ارائه داد. او گفت درآمد اپیک گیمز از بازی فورتنایت در حال کاهش بود؛ اما این شرکت به‌ جای ابتکار و استخدام مهندس، به دادخواهی روی آورد و به‌نوعی روی وکلا سرمایه‌گذاری کرد. بخشی از سخنان کارن دان به شرح زیر است.

اپیک، یک شرکت ۲۸ میلیارد دلاری، تصمیم گرفته است دیگر نمی‌خواهد هزینه نوآوری‌های اپل را پرداخت کند؛ بنابراین، اپیک در اینجا خواستار این است که این دادگاه اپل را مجبور کند برنامه‌ها و فروشگاه‌های نرم‌افزاری آزمایش‌نشده و غیر قابل اعتماد را به اپ استور خود وارد کند.

وکیل اپل استدلال کرد که حفظ حریم خصوصی و امنیت در سیستم‌های عامل این شرکت به طرز چشمگیری از سایر رقبا بهتر است. او همچنین از فرصتی که اپ استور برای توسعه‌دهندگان ضمن حفظ برنامه‌های باکیفیت و قابل اعتماد برای مصرف‌کنندگان ایجاد کرده است، تمجید کرد. به‌عنوان مثال، سیستم پرداخت درون برنامه‌ای که اپیک گیمز مخالف آن است، به‌طور خاص در جامعه‌ی توسعه‌دهندگان به‌عنوان ابزاری درخواست و پذیرفته شده است. اپل اعتقاد دارد اپیک گیمز در ابتدا به‌دنبال توافق جانبی و انحصاری بوده است و با توجه به نرسیدن به آن، تصمیم گرفته است پرونده‌ی حقوقی علیه اپل تشکیل بدهد.

درحالی‌که‌ حاضر  کارمزد کوپرتینویی‌ها در اپ استور به ۳۰ درصد می‌رسد؛ اما وکیل اپل بر این باور است که کارمزد مذکور یک استاندارد صنعتی محسوب می‌شود و ازآنجاکه اکثر برنامه‌های موجود در اپ استور رایگان هستند، بیشتر توسعه‌دهندگان هیچ هزینه‌ای به اپل پرداخت نمی‌کنند. وی همچنین روش‌های مختلفی برای کسب درآمد توسعه‌دهندگان همچون تبلیغات درون‌برنامه‌ای ارائه داده است.

وکیل اپل استدلال می‌کند که تعریف اپیک گیمز از بازار به دلیل وجود پلتفرم‌های مختلف بسیار محدود است. وی گفت ۹۵ درصد از کاربران iOS مدام از دستگاه دیگری غیر از آیفون مانند کامپیوتر مک یا کنسول‌ بازی استفاده می‌کنند. بازار پیشنهادی بسیار محدود است؛ زیرا پلتفرم‌های بسیاری وجود دارد که مصرف‌کنندگان و توسعه‌دهندگان در آن معاملات انجام می‌دهند. 

دان گفت اکثر بازیکنان فورتنایت در سیستم‌عامل‌های دیگر هستند. iOS اپل در بیشتر مطالعات در جایگاه سوم یا چهارم قرار دارد و این نشان از یک بازار رقابتی است. همچنین گفته می‌شود با اجازه دادن به فروشگاه‌های شخص ثالث و بارگیری جانبی، اپیک گیمز از اپل می‌خواهد iOS را به اندروید تبدیل کند و این مزیت رقابتی خود را از بین می‌برد؛ این دقیقا چیزی است که اپل و مشتریانش نمی‌خواهند. بیش از این، دان استدلال کرد که کارمزد مؤثر اپل در اپ استور کاهش یافته است. وی گفت در سال ۲۰۱۹ کمیسیون‌های مؤثر برای بازی‌ها ۸٫۱ درصد و همه‌ی برنامه‌ها ۴٫۷ درصد بوده است.

در بیانیه افتتاحیه استدلال شد که رسیدگی به نبرد اپل علیه اپیک گیمز یک وظیفه است؛ به عبارت دیگر، دان می‌گوید اپیک گیمز از دادگاه می‌خواهد که اپل را مجبور کند تا به روشی خاص برای تجاوز به مالکیت معنوی خود مجوز بدهد. در این میان، دان سابقه‌ی جدال قانونی با کوالکام را ذکر کرد که در آن، حوزه نهم دادگاه استیناف نظر دادگاه بدوی را رد کرد و نتیجه گرفت که به اشتباه یک وظیفه ضد انحصاری برای معامله با کوالکام وضع شده است؛ به عبارت دیگر، دادگاه حکم داد که کوالکام وظیفه کلی در برخورد با رقبا ندارد.

اگر اپیک گیمز پرونده خود را علیه اپل از دست بدهد، می‌توان این موضوع را یک چالش اساسی برای دادگاه تجدید نظر دانست. اپل همچنین به ادعاهای حاشیه سود ارائه‌شده از اپیک گیمز پرداخت. سازنده‌ی فورتنایت، به نوبه‌ی خود استدلال می‌کند که کارمزد اپل ضروری نیست؛ زیرا حاشیه سود اپ استور بسیار زیاد است.

اپل می‌گوید این محاسبات حاشیه سود فقط یک قسمت از اکوسیستم iOS را بررسی می‌کند. به‌عنوان مثال، آن‌ها شامل هزینه‌های نرم‌افزاری نیستند که اپل برای ایجاد عملکرد اپ استور باید بپردازد. برخی از این هزینه‌ها از جمله توسعه API و سایر ابزارهای توسعه نیز در نظر گرفته نمی‌شود.

دیدگاه شما کاربران زومیت درباره‌ی جدل قانونی اپل و اپیک گیمز چیست؟

رمزنگاری سرتاسری تا سال ۲۰۲۲ به اینستاگرام و فیسبوک مسنجر افزوده نخواهد شد

فیسبوک از سال ۲۰۱۹ در تلاش است سیستم رمزنگاری سرتاسری را به سرویس‌هایش اضافه کند؛ اما در اطلاعیه‌ای جدید،‌ گفته است که این قابلیت به‌زودی‌ از راه نمی‌رسد. بر اساس آنچه MSPoweruser می‌نویسد، فیسبوک اخیرا جزئیاتی درباره‌ی برنامه‌هایی که برای امنیت و حریم خصوصی سرویس‌هایش دارد اعلام کرده است. بنا به‌ اعلام رسمی، قابلیت رمزنگاری سرتاسری در سریع‌ترین حالت ممکن، تا سال ۲۰۲۲ به پلتفرم‌های فیسبوک اضافه نخواهد شد.

فیسبوک انتظار دارد در سال جاری میلادی به پیشرفت‌هایی برای رمزنگاری سرتاسری پیش‌فرض در سرویس‌های فیسبوک مسنجر و اینستاگرام دایرکت دست پیدا کند؛ اما اضافه کردن رمزنگاری سرتاسری «پروژه‌ای بلندمدت است و در سریع‌ترین حالت ممکن تا زمان نامشخصی در سال ۲۰۲۲» سرویس‌های فیسبوک به‌طور کامل به رمزنگاری سرتاسری مجهز نخواهند بود.

فیسبوک می‌گوید قابلیت‌هایی که پیش‌تر با تمرکز بر امنیت معرفی کرده است، هم‌زمان با رمزنگاری سرتاسری فعالیت خواهند کرد. فیسبوک ادامه می‌دهد: «ما برنامه داریم به اضافه کردن قابلیت‌های امنیتی قدرتمند به سرویس‌هایمان ادامه بدهیم.»

مقاله‌های مرتبط:

این خبر به‌نوعی نگران‌کننده است، زیرا فیسبوک می‌خواهد زیرساخت واتساپ، فیسبوک مسنجر و اینستاگرام دایرکت را ادغام کند تا کاربران این سرویس‌ها بتوانند به یکدیگر پیام بدهند. پیام‌رسان واتساپ اکنون دارای قابلیت رمزنگاری سرتاسری است. امیدواریم فیسبوک به‌ جای پایین آوردن سطح امنیت واتساپ،‌ نهایی شدن پروژه را به تأخیر بیندازد تا اینستاگرام دایرکت و فیسبوک مسنجر نیز به‌طور کامل رمزنگاری شوند.

فیسبوک می‌گوید باید «تعادلی بین ایمنی، حریم خصوصی و امنیت» ایجاد کند: «نیازی واضح به متعادل‌سازی حریم خصوصی و امنیت پیام‌های مردم در عین فراهم‌سازی محیطی ایمن وجود دارد. به‌علاوه در شرایطی که احتمال آسیب در دنیای واقعی وجود داشته باشد، داده‌ها باید در دسترس نهادهای قانونی قرار بگیرند.»

فیسبوک درباره‌ی ابزارهایی که توانایی حفاظت از حریم خصوصی مردم را دارند و جلوی آسیب رساندن را می‌گیرند بحث کرده است. این شرکت در همین راستا به‌ جای دسترسی به محتوای تمام پیام‌ها، به «سیگنال‌های رفتاری، داده‌های ترافیک و گزارش‌های کاربران» متکی می‌شود. 

دیدگاه شما کاربران زومیت درباره‌ی این خبر چیست؟ 

AppCensus: باگ اندروید دسترسی به اطلاعات حساس سیستم رهگیری کرونا را ممکن می‌کند

AppCensus، شرکت تحلیلی در حوزه‌ی حریم خصوصی، مدعی شده است که نسخه‌ی اندروید اپلیکیشن مشترک اپل و گوگل برای شناسایی افرادی که در معرض ابتلا به ویروس کرونا بوده‌اند دارای نقصی امنیتی است که از لحاظ تئوری به دیگر اپلیکیشن‌های از پیش ‌نصب‌شده امکان می‌دهد داد‌ه‌های حساس را ببینند.

ظاهرا این داده‌های حساس مواردی مثل برخورد کاربر با فرد دارای آزمایش کرونای مثبت را نیز شامل می‌شود. گوگل می‌گوید اکنون در حال انتشار به‌روزرسانی برای این رفع نقص امنیتی است.

به گزارش ورج، سوندار پیچای، مدیرعامل گوگل و تیم کوک، مدیرعامل اپل به‌ همراه شماری از مقامات رسمی حوزه‌ی بهداشت بارها تأکید کرده‌اند داده‌های جمع‌آوری‌شده توسط سیستم پایش ویروس کرونا در اندروید و iOS، خارج از دستگاه کاربر با فرد یا سازمان دیگری به اشتراک گذاشته نمی‌شود؛ اما نقص امنیتی نسخه‌ی اندروید این ادعا را زیر سؤال می‌برد. 

AppCensus می‌گوید نخستین بار در ماه فوریه‌ی ۲۰۲۱ (بهمن و اسفند ۱۳۹۹) جزئیات باگ را در اختیار گوگل قرار داده است؛ اما این شرکت نتوانسته آسیب‌پذیری را رفع کند. جوئل ریردن، هم‌بنیان‌گذار و مدیر واحد فارنزیک در AppCensus، به The Markup گفته است برای حل شدن نقص امنیتی کافی است چند خط کد غیر ضروری از اپلیکیشن حذف شود. او می‌گوید از اینکه گوگل نتوانسته چنین آسیب‌پذیری ساده‌ای را رفع کند «متحیر» شده است. 

خوزه کاستاندا به نمایندگی از گوگل، در ایمیلی گفته که شرکت واقع در مانتین ویو در حال کار روی به‌روزرسانی‌ برای رفع نقص امنیتی سیستم پایش کووید است. این نماینده می‌گوید شناساگرهای بلوتوث با هدف اشکال‌زدایی، به‌صورت موقت در دسترسِ اپلیکیشن‌های سیستمیِ خاصی بوده‌اند و گوگل فورا انتشار به‌روزرسانی برای رفع مشکل را آغاز کرده است.

سیستم اطلاع‌رسانی کووید که نتیجه‌ی همکاری مستقیم اپل و گوگل است و سال گذشته سروصدای زیادی به پا کرد، سیگنال‌های ناشناس بلوتوث را بین دستگاه کاربر و دیگر دستگاه‌هایی که قابلیت را فعال کرده‌اند ارسال می‌‌کند. اگر فردی که از اپلیکیشن استفاده می‌کند آزمایش کرونای مثبت داشته باشد، می‌تواند در همکاری با نهادهای بهداشت هشداری برای تمامی دستگاه‌هایی بفرستد که سیگنال بلوتوث دستگاه فرد مبتلا را در حافظه‌ی خود ذخیره کرده‌اند. در اندروید داده‌های سیستم پایش کووید در حافظه‌ی خاص سیستم ثبت می‌شود تا اکثر نرم‌افزارهای داخل گوشی امکان دسترسی به آن را نداشته باشند.

مقاله‌های مرتبط:

اما اپلیکیشن‌هایی که توسط گوشی‌سازان به‌صورت پیش‌فرض روی گوشی نصب می‌شوند، دارای یک‌ سری دسترسی سیستمیِ خاص هستند که به آن‌ها امکان می‌دهد اطلاعات سیستم پایش کووید را ببینند و داده‌های این سیستم در خطر افشا شدن باشد. جوئل ریردن می‌گوید در حال حاضر هیچ مدرکی وجود ندارد که نشان بدهد که اپلیکیشن‌های پیش‌فرض اندروید این داده‌ها را جمع‌آوری کرده باشند.

اپلیکیشن‌های از پیش‌ نصب‌شده قبلاً از مجوزهای مخصوصشان سوءاستفاده کرده‌اند؛ تحقیقاتی دیگر نشان می‌دهد این اپلیکیشن‌ها گاهی اوقات اطلاعاتی مانند موقعیت جغرافیایی و فهرست مخاطبان گوشی را استخراج می‌کنند.

محققان AppCensus می‌گویند نقص امنیتی مشابهی در نسخه‌ی iOS سیستم رهگیری ابتلا به ویروس کرونا پیدا نکرده‌اند. 

سرج اگلمن، مدیر ارشد فناوری در AppCensus، در توییتر می‌نویسد مشکل مورد بحث در نسخه‌ی اندروید اپلیکیشن از نحوه‌ی پیاده‌سازی نشئت می‌گیرد و به خودِ فریم‌ورک سیستم پایش کووید ارتباط ندارد. به همین دلیل نباید اعتماد مردم به فناوری‌های بهداشت عمومی از بین برود.

اگلمن می‌گوید: «امیدواریم درسِ اصلی، این باشد که حفظ حریم خصوصی به شکل مناسب واقعا سخت است و آسیب‌پذیری همیشه در سیستم‌ها کشف می‌شود. بااین‌حال به نفع همه است که برای رفع این مشکلات همکاری کنیم.» 

نقص امنیتی جدید کرنل لینوکس به افشای داده‌های سیستم منتهی می‌شود

محققان گروه اطلاعاتی تالوس، از زیرشاخه‌های شرکت امنیت سایبری سیسکو، می‌گویند آسیب‌پذیری جدیدی در لینوکس کرنل (Linux Kernel) پیدا کرد‌ه‌اند که افراد سودجو می‌توانند از آن برای افشای داده‌ها بهره‌برداری کنند. آن‌طور که ZDNet می‌نویسد، این آسیب‌پذیری را می‌توان به‌عنوان سکویی برای نفوذ بیشتر به سیستم‌ها مورد استفاده قرار داد.

محققان گروه تالوس می‌گویند این باگ از نوع «آسیب‌پذیری افشای اطلاعات» است که از لحاظ تئوری «به هکر امکان می‌دهد حافظه‌ی استک کرنل را ببیند».

کرنل بخشی کلیدی از سیستم‌عامل متن باز لینوکس به‌حساب می‌آید. آسیب‌پذیری کشف‌شده توسط گروه تالوس که به‌عنوان CVE-2020-28588 برچسب‌گذاری شده در بخش proc/pid/syscall دستگاه‌های ۳۲ بیت آرم که متکی‌بر لینوکس هستند رؤیت شده است.

طبق ادعای سیسکو، مشکل امنیتی مورد اشاره نخستین بار روی دستگاهی پیدا شده که مجهز به سیستم‌عامل لینوکسیِ Azure Sphere بوده است.

هکرهایی که به‌دنبال بهره‌برداری از این نقص امنیتی هستند می‌توانند فایل syscall/ را از طریق Proc بخوانند؛ Proc سیستمی است که برای ایجاد رابط بین ساختمان‌های داده‌ی کرنل مورد استفاده قرار می‌گیرد. اگر هکر در حافظه‌ی استکی که مقدار اولیه به آن داده نشده فرمان‌هایی را برای گرفتن خروجی ۲۴ بایتی اجرا کند عملا توانایی بهره‌برداری از آسیب‌پذیری را پیدا می‌کند و می‌تواند سیستم KASLR را در کرنل دور بزند.

مقاله‌های مرتبط:

محققان می‌گویند تشخیص این نوع حمله‌ی سایبری به شبکه، از راه دور «غیرممکن» است؛ زیرا لینوکس تصور می‌کند که در حال خواندن فایلی رسمی و قانونی از جنس سیستم‌عامل است. در صورتی که حمله‌ی هکری به شکل صحیح پیاده‌سازی شود، هکر می‌تواند از این اطلاعات برای «بهره‌برداریِ موفقیت‌آمیز از دیگر آسیب‌پذیری‌های پچ‌نشده‌ی لینوکس» استفاده کند.

سیسکو می‌گوید سیستم‌های عامل Linux Kernel 5.10-rc4 و Linux Kernel 5.4.66 و Linux Kernel 5.9.8 از آسیب‌پذیری CVE-2020-28588 متأثر می‌شوند. ظاهرا پچی برای برطرف کردن آسیب‌پذیری در تاریخ ۳ دسامبر ۲۰۲۰ (۱۳ آذر ۱۳۹۹) منتشر شده است. از کاربران لینوکس درخواست شده که هرچه سریع‌تر سیستم‌عامل خود را به جدیدترین نسخه به‌روزرسانی کنند. 

لینوکس کرنل در چند هفته‌ی گذشته بسیار خبرساز بوده است. مدتی پیش چند محقق دانشگاه مینه‌سوتای ایالات متحده به شکل آگاهانه با هدف انجام تحقیقات آسیب‌پذیری‌هایی در لینوکس کرنل ثبت کردند. این محققان بارها گفتند هدف‌شان انجام تحقیق و بررسی روند ثبت کد توسط نگهدارندگان لینوکس کرنل بوده، بااین‌حال یکی از اعضای ارشد کرنل سریعا دانشگاه مینه‌سوتا را از ادامه‌ی مشارکت در پروژه‌ی لینوکس کرنل تحریم کرد. به‌علاوه تمامی کدهایی که محققان دانشگاه مینه‌سوتا ثبت کرده بودند حذف شد. دانشگاه مینه‌سوتا در پاسخ به این اتفاق تحقیقات را به حالت تعلیق درآورد و عذرخواهی کرد، اما عذرخواهی این دانشگاه فعلا پذیرفته نشده است. 

ویندوز ۱۰ اکنون ماینینگ مخفیانه با CPU سیستم شما را تشخیص می‌دهد

مایکروسافت با همکاری مستقیم اینتل سیستمی طراحی کرده است تا از بدافزارهایی جلوگیری کند که از‌طریق پردازنده‌ی مرکزی سیستمتان رمزارز استخراج می‌کنند. به‌نوشته‌ی ZDNet، مایکروسافت رسما از اضافه‌شدن فناوری تشخیص تهدید اینتل (TDT) به مایکروسافت دیفندر اندپوینت خبر داده است. Microsoft Defender for Endpoint سرویس امنیتی سازمانی مبتنی‌بر فضای ابری است که قبلا با نام Microsoft Defender Advanced Threat Protection شناخته می‌شد.

مجرمان سایبری فرصت‌طلب با بهره‌برداری از آسیب‌پذیری‌هایی نظیر آنچه اخیرا در سرویس مایکروسافت اکسچنج سرور رخ داد می‌توانند مقدار زیادی از قدرت پردازشی سیستم قربانی را برای استخراج ارزهای دیجیتال استفاده کنند. افزایش محسوس قیمت رمزارزهایی مثل بیت کوین و اتریوم و دوج کوین در چند وقت اخیر باعث شده علاقه‌ به ماینینگ افزایش یابد و قطعا هکرها به‌دنبال فرصتی می‌گردند تا سرورهای قدرتمند را هدف قرار دهند و با آن‌ها برای خود بیت کوین استخراج کنند.

قابلیت امنیتی جدید مایکروسافت و اینتل بدافزارهایی را هدف قرار می‌دهد که در سطح پردازنده‌ی مرکزی فعالیت می‌کنند. آنتی‌ویروس‌های سنتی سیستم‌عامل دستگاه را پوشش می‌دهند و نمی‌توانند از بدافزارهایی جلوگیری کنند که هدفشان CPU است. قابلیت جدید نتیجه‌ی همکاری پیشین با اینتل است و آن پروژه‌ی قدیمی در تلاش بود با بدافزارهایی مقابله کند که به حافظه نفوذ می‌کنند.

مایکروسافت در بیانیه‌ای مطبوعاتی می‌گوید فناوری TDT اینتل یادگیری ماشین را روی داده‌های تله‌متری سطح پایین سخت‌افزاری اعمال می‌کند که مستقیما ازطریق واحد نظارت عملکرد CPU تأمین شده‌اند تا کدهای مخرب شناسایی شوند. مایکروسافت می‌گوید TDT به مجموعه‌ای غنی از وقایع پروفایل‌سازی عملکردمتکی می‌شود که در سیستم-روی-چیپ‌های اینتل دردسترس هستند. براساس اطلاعات رسمی، فناوری TDT با سیستم‌هایی کار می‌کند که به پردازنده‌‌های نسل‌ششمی سری Intel Core و پلتفرم Intel vPro مجهزند. 

قابلیت امنیتی جدید ویندوز از داده‌های تله‌متری واحد نظارت عملکرد پردازنده‌ی مرکزی موسوم به PMU استفاده می‌کند؛ چون استخراج‌کنندگان رمزارز ازطریق حل معادلات ریاضی که بخش‌هایی از بلاک‌چین را شکل می‌دهند، در قالب ارز دیجیتال پاداش دریافت می‌کنند. تمامی این فرایند به منابعی نیاز دارد که CPU ارائه می‌دهد. قابلیت امنیتی ویندوز ۱۰ می‌تواند سیستم را برای شناسایی اجرای کد مخرب در ران‌تایم بررسی کند؛ حتی درصورتی‌که بدافزار ازطریق ابزار شبیه‌سازی پنهان شده باشد.

مقاله‌ی مرتبط:

طبق گفته‌ی مایکروسافت، فناوری یادگیری ماشین آثار ناشی از استخراج رمزارز را می‌تواند تشخیص دهد و با این اتفاق قابلیت امنیتی جدید به‌کار می‌افتد. مایکروسافت بیان کرده است توانایی ویندوز در تشخیص حملات کانال جانبی و باج‌افزارها را نیز تقویت کرده است. 

اینتل در بیانیه‌ای جداگانه جزئیاتی درباره‌ی همکاری با مایکروسافت اعلام و در بخشی از آن روی این موضوع تأکید کرده است هیچ محصول یا قطعه‌ای نمی‌تواند کاملا ایمن باشد؛ اما اضافه‌شدن TDT به ویندوز نقطه‌ی عطف واقعی برای صنعت امنیت محسوب می‌شود. 

باگی که دور زدن لایه‌های امنیتی macOS را ممکن می‌کرد، برطرف شد

طبق آمار، شمار بدافزارهای مک او اس (Apple macOS) به‌مرور زمان افزایش می‌یابد و اپل در سال‌های اخیر به‌دفعات تلاش کرده است لایه‌های امنیتی بیشتری به سیستم‌عامل خود اضافه کند تا اجرای نرم‌افزارهای مخرب روی macOS بسیار مشکل‌تر شود.

اما به گزارش وایرد، «یک آسیب‌پذیری در سیستم‌عامل» که روز گذشته به‌صورت علنی تشریح و رسما پچ شد، مورد بهره‌برداری قرار گرفته است. وایرد ادعا می‌کند این آسیب‌پذیری می‌توانست «تمامی لایه‌های حفاظتی macOS را دور بزند.»

سدریک اونز، محقق حوزه‌ی امنیت، در اواسط ماه مارس ۲۰۲۱ (اواخر اسفند ۱۳۹۹ و اوایل فروردین ۱۴۰۰) زمانی‌ که مشغول مطالعه روی قابلیت‌های حفاظتی macOS بود موفق به پیدا کردن آسیب‌پذیری جدید شد.

مکانیزم گیت‌کیپر (Gatekeeper)‌ از توسعه‌دهندگان می‌خواهد در اپل ثبت‌ نام و تعرفه‌ی مشخصی را پرداخت کنند تا امکان اجرای نرم‌افزار آن‌ها روی مک فراهم شود. فرایند تأیید اعتبار نرم‌افزارهای مک به‌صراحت اعلام می‌کند یکایک اپلیکیشن‌های این سیستم‌عامل باید فرایند بررسی خودکار را بگذرانند. دستورالعمل‌های این فرایند بررسی خودکار از قبل توسط اپل تعیین شده است و به‌طور مشترک برای همه‌ی نرم‌افزارها اعمال می‌شود.

آسیب‌پذیری منطقی‌ که اونز پیدا کرد ارتباطی به سیستم تأیید اعتبار اپلیکیشن‌ها ندارد بلکه درون خودِ سیستم‌عامل macOS قرار گرفته است. هکرها از لحاظ تئوری می‌توانند بدافزارهای خود را به‌گونه‌ای طراحی کنند که سیستم‌عامل فریب بخورد و اجازه‌ی اجرای آن را صادر کند، حتی اگر در تمام آزمایش‌های امنیتیِ گیت‌کیپر رد شده باشد.

آسیب‌پذیری جدید macOS تمام لایه‌های محافظتی سیستم‌عامل را دور می‌زد

اونز می‌گوید با درنظرگرفتن بهبودهای امنیتی اعمال‌شده در macOS طی چند سال اخیر، «متعجب شده که این تکنیک ساده کار کرده است. به‌ همین دلیل با درنظرگرفتن احتمال استفاده‌ی هکرهای دنیای واقعی از این تکنیک برای عبور از گیت‌کیپر، فورا جزئیات ماجرا را به اپل گزارش دادم.» بر اساس آنچه محقق امنیتی مذکور ادعا می‌کند، به چند شیوه می‌توان از چنین باگی برای نفوذ به سیستم بهره‌برداری کرد. 

مشکل امنیتی macOS مثل دَرِ ورودی جلوی خانه است که به شکل مؤثر بسته شده؛ اما در مخصوص عبور گربه در بخش پایینی آن دیده می‌شود و شما می‌توانید به‌راحتی از طریق آن، بمبی داخل خانه بیندازید.

اپل به‌اشتباه فرض کرده است که اپلیکیشن‌ها همیشه دارای یک‌ سری ویژگی‌ مشخص هستند. اونز متوجه شد اگر اپلیکیشنی که صرفا یک اسکریپت (کدی که به نرم‌افزار دیگری می‌گوید کار مشخصی انجام بدهد و خود آن کار را انجام نمی‌دهد) باشد و از فایل متادیتای اپلیکیشن‌های استاندارد به نام info.plist استفاده نکند، می‌تواند روی تمام مک‌ها اجرا شود. در حالت عادی مک چنین پیغامی روی صفحه ظاهر می‌کند: «این اپلیکیشن از اینترنت دانلود شده است. مطمئن هستید که می‌خواهید بازش کنید؟» اما در صورت استفاده از تکنیک اونز، چنین پیغامی روی صفحه ظاهر نمی‌شود. 

اونز می‌گوید جز‌ئیات کامل باگ macOS را با اپل به اشتراک گذاشته و یافته‌های خود را در اختیار پاتریک واردل، از محققان امنیتی باسابقه‌ی macOS، قرار داده است. واردل بررسی‌های عمیق‌تری انجام داد تا بفهمد macOS چگونه با چنین مشکلی مواجه شده است. 

واردل در مقاله‌ای اعلام کرده است macOS به‌درستی تشخیص می‌دهد که فایل مورد نظر از اینترنت دانلود شده است و تصمیم می‌گیرد آن را قرنطینه کند و تمامی بررسی‌های امنیتی را انجام بدهد. macOS ابتدا بررسی می‌کند که اپلیکیشن تأیید اعتبار شده است یا خیر (در تکنیک اونز، اپلیکیشن تأیید اعتبار نشده است).

در مرحله‌ی بعد، macOS سراغ بررسی این موضوع می‌رود که نرم‌افزار «بسته‌ی اپلیکیشن» است یا خیر. سیستم‌عامل کامپیوترهای اپل وقتی هیچ فایلی با عنوان info.plist پیدا نمی‌کند، به‌اشتباه تشخیص می‌دهد که با اپلیکیشن مواجه نیست. به‌ همین دلیل macOS هرگونه شواهدی که نشان‌دهنده‌ی خلاف این موضوع باشد نادیده می‌گیرد و بدون نشان دادن هشدار روی صفحه، اجازه‌ی اجرای اپلیکیشن را صادر می‌کند. واردل می‌گوید: «این به‌نوعی دیوانه‌وار است!» 

واردل پس از فهمیدن نحوه‌ی کارکرد باگ macOS سراغ شرکت Jamf (فعال در حوزه‌ی مدیریت دستگاه‌های اپل) رفت تا بفهمد آیا آنتی‌ویروس Protect این شرکت موفق به پیدا کردن بدافزارهای مبتنی‌ بر اسکریپت شده است یا خیر. طبق ادعای واردل، Jamf متوجه شده نسخه‌ای از تبلیغ‌افزار Shlayer به شکل فعالانه مشغول بهره‌برداری از باگ مورد اشاره بوده است.

آسیب‌پذیری macOS Big Sur 11.3 که روز گذشته منتشر شد، رفع شده است

قابلیت گیت‌کیپر macOS که در سال ۲۰۱۲ آغاز به‌ کار کرد، به هنگام تلاش برای اجرای اپلیکیشن‌هایی که از خارج از اپ استور مک دانلود شده‌اند، پیغامی روی صفحه ظاهر می‌کند و به کاربران هشدار می‌دهد که اجرای چنین اپلیکیشنی ممکن است از لحاظ امنیتی کار عاقلانه‌ای نباشد؛ اما طی سال‌های اخیر هکرها بارها موفق شده‌اند قربانیان را فریب بدهند و بدافزارشان را به شکل گسترده وارد سیستم‌ها کنند.

پیش‌نیازهای سیستم تأیید اعتبار اپل که در فوریه‌ی ۲۰۲۰ (بهمن و اسفند ۱۳۹۸) روی کار آمدند، باعث شده‌اند ورود بدافزارها به مک بسیار سخت‌تر شود. اگر کاربر بخواهد اپلیکیشنی اجرا کند که فرایند تأیید اعتبار را نگذرانده باشد، macOS به‌طور کلی اجازه‌ی اجرای اپلیکیشن را نمی‌دهد. این موضوع مشکل بسیار بزرگی برای مجرمان سایبری است؛ به‌خصوص آن‌هایی که به تبلیغ‌افزار متکی می‌شوند. 

گروهی که Shlayer را توسعه می‌دهد به‌شدت دنبال راهکارهایی برای دور زدن سیستم تأیید اعتبار اپل بوده و چند بار توانسته است این سیستم را فریب بدهد. باگی که به شما امکان بدهد سیستم تأیید اعتبار را به‌طور کلی دور بزنید، قطعا مورد استقبال چنین افرادی قرار می‌گیرد. این باگ کار Shlayer را بسیار راحت می‌کند، چون توسعه‌دهندگان این نرم‌افزار مجبور نیستند کاربران را برای اجرای بدافزار فریب بدهند.

مقاله‌های مرتبط:

ظاهرا اپل در macOS Big Sur 11.3 که روز گذشته منتشر شد، به‌روزرسانی امنیتی ویژه‌ای قرار داده است که باگ را رفع می‌کند. فردی به نمایندگی از اپل در گفت‌و‌گو با وایرد تأیید کرد که باگ رفع‌شده‌ی macOS به بدافزارها امکان می‌داد سیستم تأیید اعتبار را دور بزنند و در نتیجه‌ی آن هشدار گیت‌کیپر روی صفحه ظاهر نشود.

اپل افزون بر رفع آسیب‌پذیری منطقی macOS، ابزار نظارت بر سیستم XProtect را به‌روزرسانی کرده است تا هر نوع نرم‌افزاری که به‌دنبال بهره‌برداری از آسیب‌پذیری مورد اشاره است، شناسایی کند و این موضوع را به کاربر اطلاع بدهد. این یعنی حتی نسخه‌های پیشین macOS نیز اکنون ایمن‌تر هستند. 

واردل می‌گوید این آسیب‌پذیری مک نتیجه‌ی خطایی مهندسی است و نشان می‌دهد حتی حفاظت‌شده‌ترین سیستم‌های عامل نیز ممکن است آسیب‌پذیر باشند. این محقق می‌گوید همه‌ی سیستم‌های عامل دچار باگ امنیتی می‌شوند؛ «اما این باگ بسیاری از بخش‌های اصلی و بنیادی macOS را به‌طور کامل زیر سؤال می‌برد.» این محقق که سابقه‌ای طولانی‌ در بررسی امنیتی macOS دارد، اعلام می‌کند «باگ مورد بحث [نتیجه‌ی] اشتباه نظری بسیار تکان‌دهنده‌ای است.»

اپل روز گذشته iOS 14.5 و iPadOS 14.5 را نیز منتشر کرد. نسخه‌ی جدید iOS قابلیت بحث‌برانگیز حریم خصوصی ATT را که بارها مورد انتقاد فیسبوک قرار گرفته است فعال می‌کند.

شایعه: روسیه پس از هک SolarWinds همچنان به شبکه‌های آمریکایی دسترسی دارد

چند ماه پیش حمله سایبری به نرم‌افزار سازمانی سولار ویندز (SolarWinds) جنجال زیادی به پا کرد و به ادعای مدیرعامل مایکروسافت، حملات بسیار گسترده بود. بررسی‌ها نشان می‌داد حملات SolarWinds توسط گروه پرتعدادی از هکرها انجام شده است و زمان زیادی نگذشته بود که نخستین گزارش‌ها از ارتباط روسیه به جنجال SolarWinds سخن به میان آوردند.

انگجت می‌نویسد «موفقیتِ ادعا‌شده‌ی روسیه در هک SolarWinds» ممکن است هنوز به پایان نرسیده باشد. ظاهرا در همین راستا آژانس‌های دولتی و شرکت‌های ایالات متحده سیستم‌های دفاعی خود را تقویت کرده‌اند. به گزارش CNN، با وجود تلاش‌ برای رفع آسیب‌پذیری‌ها، سرویس اطلاعات خارجی روسیه «احتمالا» همچنان به شبکه‌های آمریکایی دسترسی دارد. بر اساس این گزارش، هکرها همچنان تا حد زیادی در شبکه‌ها حضور دارند.

جو بایدن، رئيس‌ جمهور ایالات متحده، به‌صورت رسمی گروه هکری روسی Cozy Bear (ملقب‌ به APT29) را به‌عنوان عامل اصلی حملات SolarWinds معرفی کرد. آن نویبرگر، معاون مشاور امنیت ملی ایالات متحده، در مصاحبه با CNN ادعای مطرح‌شده را به‌صورت مستقیم تأیید نکرد؛ اما گفت سرزنش رسمی سرویس اطلاعات خارجی روسیه با هدف ارزیابی نقش این کشور در حملات SolarWinds انجام شده است و ایالات متحده انتظار ندارد با چنین کاری جلوی روسیه را بگیرد.

مقاله‌های مرتبط:

این نخستین باری نیست که هکرهای روس وارد شبکه‌های آمریکایی می‌شوند. به‌ دنبال اعمال تحریم در اواخر سال ۲۰۱۶ توسط دولت اوباما،‌ روسیه به افزایش حملات سایبری علیه ایالات متحده ادامه داد. روسیه در اواسط سال ۲۰۱۸ و بعد از آن، سیستم سیاست‌مداران و دیگر افراد را هدف قرار داد. حتی در شرایطی که آمریکایی‌ها با موفقیت هکرهای روس را از سیستم‌ها بیرون راندند، همچنان این احتمال وجود داشت که آن‌ها راهی دیگر به درون سیستم پیدا کنند. 

اگر گزارش جدید حقیقت داشته باشد، نشان می‌دهد ایمن کردن سیستم‌هایی که پیش‌تر هدف حملات سایبری موفقیت‌آمیز دولتی قرار گرفته‌اند کار بسیار سختی است. پس از حملات SolarWinds شاهد پاسخ گسترده‌ای از سوی تعداد زیادی از شرکت‌ها به وضعیتِ پیش‌آمده بودیم؛ اما ظاهرا حتی این پاسخ گسترده برای بیرون راندن هکرها کافی نبوده است. احتمال دارد ایالات متحده نتواند به‌زودی‌ به وضعیت پیش از هک SolarWinds بازگردد.

نیویورک تایمز: «حریم خصوصی» چگونه تیم کوک را با مارک زاکربرگ دشمن کرد

با انتشار iOS 14.5، کاربران آیفون می‌توانند به‌راحتی جلوی پایش داده‌هایشان در سراسر اپلیکیشن‌ها و وب‌سایت‌ها توسط اپلیکیشن‌هایی نظیر فیسبوک را بگیرند. تحلیلگران انتظار دارند اکثر کاربران سراغ استفاده از قابلیت جدید بروند و در نتیجه‌، ضرر زیادی به کسب‌و‌کار تبلیغاتی فیسبوک وارد شود.

مقاله‌ای در نیویورک تایمز به شکل مفصل به این موضوع می‌پردازد که تلاش‌های اپل در حوزه‌ی حریم خصوصی چگونه باعث شده است مارک زاکربرگ و تیم کوک به دشمن هم تبدیل شوند.

دو سال پیش در جولای ۲۰۱۹ (تیر و مرداد ۱۳۹۸) تیم کوک و زاکربرگ در کنفرانس سالانه‌ی بانک سرمایه‌گذاری Allen & Company جلسه‌ای خصوصی برگزار کردند. در آن دوران فیسبوک با رسوایی کمبریج آنالیتیکا دست‌و‌پنجه نرم می‌کرد.

نیویورک تایمز می‌نویسد: «افراد مطلع گفته‌اند در آن جلسه، آقای زاکربرگ از آقای کوک پرسید چه ایده‌ای برای عبور از این جنجال دارد. آقای کوک با لحنی کنایه‌‌آمیز پاسخ داد فیسبوک باید هرگونه اطلاعاتی که در خارج از اپلیکیشن‌های اصلی‌اش از مردم جمع‌آوری کرده است حذف کند. افرادی که اجازه ندارند به شکل علنی صحبت کنند، گفته‌اند آقای زاکربرگ از این پاسخ بهت‌زده شده است.»

9to5Mac می‌گوید فیسبوک و اپل به مدت چند سال رابطه‌ی خوبی داشتند؛ اما از زمانی‌ که رشد فیسبوک آغاز شد و این شرکت به‌ شکل بی‌رویه شروع‌ به جمع‌آوری داده‌های کاربران کرد، شاهد تغییر رابطه‌ی این شبکه‌ی اجتماعی و اپل بودیم. تا سال ۲۰۱۸ تیم کوک بارها از حریم خصوصی به‌عنوان «حق اساسی بشر» یاد کرده بود و از آن زمان تاکنون مدیرعامل اپل در تقریبا تمامی مصاحبه‌های مربوط به مبحث حریم خصوصی از فیسبوک انتقاد کرده است. 

MSNBC در سال ۲۰۱۸ در مصاحبه‌ای با تیم کوک، بحث یکی از رسوایی‌های فیسبوک را به میان آورد و از مدیرعامل اپل پرسید اگر به جای مارک زاکربرگ بود چه واکنشی نشان می‌داد. تیم کوک در بین خنده و تشویق حضار گفت: «من در چنین وضعیتی قرار نخواهم گرفت.»

مدیرعامل اپل امسال بخش آغازین کنفرانس حافظت از داده‌های اتحادیه‌ی اروپا (CPDP) را با موضوع «مسیری برای توانمندسازی انتخاب کاربر و افزایش اعتماد کاربر به تبلیغات» اجرا کرد. تیم کوک در کنفرانس آنلاین خود به مباحث مختلفی اشاره کرد که اپل آن‌ها را به‌عنوان مسائلی نگران‌کننده در حوزه‌ی امنیت و حریم خصوصی در صنعت فناوری می‌بیند.

مقاله‌های مرتبط:

تیم کوک به‌صراحت از فیسبوک اسم نیاورد؛ اما مدل کسب‌و‌کار این شرکت را مورد انتقاد قرار داد: «اگر یک کسب‌و‌کار بر پایه‌ی گمراه کردن کاربران، بر پایه‌ی سوء استفاده از داده‌ها و بر پایه‌ی انتخاب‌هایی که اصلا انتخاب نیستند بنیان‌گذاری شود، سزاوار تمجید از طرف ما نیست، بلکه سزاوار اصلاح است.» 

چند هفته پیش تیم کوک با نیویورک تایمز مصاحبه‌‌ای خواندنی انجام داد. او در مورد تغییرات سیستم App Tracking Transparencyا(ATT) صحبت کرد و به سؤال خبرنگار نیویورک تایمز درباره‌ی انتقادات فیسبوک پاسخ داد. تیم کوک در پاسخ گفت: «تمام کاری که انجام می‌دهیم، دادن این انتخاب به کاربر است که اطلاعاتش رهگیری شود یا خیر. فکر می‌کنم مخالفت با این قضیه سخت است. از اینکه می‌بینم تا این حد به این قابلیت انتقاد شده است شوکه شده‌ام.»

اپل از روز گذشته با انتشار iOS 14.5 رسما قابلیت ATT را فعال کرده است. قطعا در هفته‌ها و ماه‌های آینده مشخص خواهد شد که ATT دقیقا چگونه توانسته است روی کسب‌و‌کار تبلیغاتی فیسبوک اثر بگذارد.